V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
alvin666
V2EX  ›  问与答

iptables 性能如何?

  •  
  •   alvin666 · 2019-02-08 14:06:59 +08:00 via Android · 2891 次点击
    这是一个创建于 2113 天前的主题,其中的信息可能已经有所发展或是发生改变。

    套了 cdn,打算 drop 所有除了 cdn 以外的 80/443 访问,会不会对系统资源消耗过大?

    13 条回复    2019-02-09 10:29:20 +08:00
    smileawei
        1
    smileawei  
       2019-02-08 15:43:31 +08:00 via iPhone   ❤️ 1
    源站前套一个 nginx 然后把 CDN 的回源服务商 ip 加到白名单,何必用 iptables 做。
    alvin666
        2
    alvin666  
    OP
       2019-02-08 16:16:30 +08:00 via Android
    @smileawei 我已经这样做了,但是躲不住扫全网 ipv4 443 抓证书,censys 和 myssl 都能查到这样的站的源 ip
    所以要用 iptables drop 所有除了 cdn 的链接。
    mason961125
        3
    mason961125  
       2019-02-08 16:18:21 +08:00   ❤️ 1
    iptables 就是在 netfilter 里加规则,netfilter 是内核自己带的,就看你规则怎么写了。
    alvin666
        4
    alvin666  
    OP
       2019-02-08 16:19:42 +08:00 via Android
    @mason961125 规则打算就是 443 端口 whitelist cdn 的 ip,其余的 drop,会消耗 cpu 很多吗
    mason961125
        5
    mason961125  
       2019-02-08 16:21:13 +08:00   ❤️ 1
    @alvin666 #4 不会啊,规则不匹配就直接 drop 了哪来的消耗呢。
    des
        6
    des  
       2019-02-08 16:49:44 +08:00 via Android
    @alvin666
    用 nginx 做不很简单?回源加到白名单
    至于抓证书的,随便自己签一个证书,默认都指向这个自签证书就好了就好了
    alvin666
        7
    alvin666  
    OP
       2019-02-08 16:51:47 +08:00 via Android
    @des 我也做了...
    但是还是感觉不太放心,如果我是攻击者,源 ip 被我从其他地方知道了(如 xss )我在 hosts 里面设置域名指向源 ip,然后访问,也能抓到包含域名的证书
    所以要么源站 http 要么 iptables drop cdn 以外的 ip
    mgcnrx11
        8
    mgcnrx11  
       2019-02-08 17:20:28 +08:00 via iPhone   ❤️ 1
    感觉 netfilter 比 ng 效率高才对嘛,毕竟在内核就过滤了啊
    alvin666
        9
    alvin666  
    OP
       2019-02-08 17:30:23 +08:00 via Android
    @mgcnrx11 对的,这样 ng 也不用过滤了
    uyhyygyug1234
        10
    uyhyygyug1234  
       2019-02-08 17:35:25 +08:00   ❤️ 3
    https://blog.cloudflare.com/how-to-drop-10-million-packets/

    楼主可以看下 cloudflare,iptables 比应用上丢强点,但是它上了 eXpress Data Path, 每秒能丢 10M 个包。 iptables DROP in PREROUTING 是 1.688mpps。
    alvin666
        11
    alvin666  
    OP
       2019-02-08 20:42:37 +08:00 via Android
    @uyhyygyug1234 谢谢,一会有空我看看
    我套的就是 cf 2333
    ForgotFun
        12
    ForgotFun  
       2019-02-09 01:53:16 +08:00
    可以用 ipset 配合 iptables,效率会更高点。
    watzds
        13
    watzds  
       2019-02-09 10:29:20 +08:00 via Android
    你试试不就知道了,用工具生成流量
    应该是没问题的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5444 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 03:21 · PVG 11:21 · LAX 19:21 · JFK 22:21
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.